Um requisito chave sob a LGPD é que as empresas devem ter consentimento claro dos usuários antes de processar seus dados. Veja o que diz a lei em relação ao consentimento expresso dos indivíduos antes de usar seus dados pessoais.
A Lei Geral de Proteção de Dados e as bases legais para tratamento de dados
A Lei Geral de Proteção de Dados define, em seu art. 7º, quais são as bases legais que justificam o tratamento dos dados. Isto quer dizer que, para qualquer forma de tratamento (coleta, armazenamento, compartilhamento e etc), é preciso que o controlador dos dados esteja de acordo com uma das alternativas fornecidas no art. 7º, tais como: o consentimento pelo titular; o legítimo interesse do titular; o cumprimento de obrigação legal, dentre outros.
Importante lembrar que para o tratamento de dados sensíveis e de dados de crianças e adolescentes, tem-se regras mais rígidas, que fogem do escopo do assunto que será tratado a seguir.
Tratando-se, então, dos dados de pessoais físicas, titulares de direitos à proteção os dados pessoais, tem-se como primeira hipótese para base legal de tratamento de dados pessoais a que decorre do consentimento expresso do titular, sendo o consentimento definido como a “manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada” (art. 5º, XII).
Quais os procedimentos para obter o consentimento do titular de dados?
O consentimento deve ser praticado pela pessoa física, titular dos dados, e deve vir acompanhado da informação de finalidade específica. Isto porque, a validade do consentimento tem vinculação direta com o princípio da finalidade, que exige que os propósitos do tratamento de dados sejam legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades. A finalidade deve ser determinada e, por isso, as autorizações genéricas serão consideradas nulas.
Em outras palavras, aquele que consentiu expressamente ao tratamento de seus dados, o fez para uma finalidade específica, sendo que a alteração da finalidade exigirá novo consentimento.
A Lei não exige necessariamente que o consentimento seja por escrito. O consentimento deverá ser fornecido por escrito ou por “outro meio” que demonstre a manifestação de vontade do titular. Em outros termos, “outros meios” deve ser uma declaração ou um ato positivo inequívoco.
É preciso cuidar, no entanto, quando houver uma relação em que a vulnerabilidade é presumida, tais como nas relações de consumo, em que o controlador de dados está oferecendo um produto ou serviço ao consumidor e, para cumprir tal finalidade, precisa tratar/coletar os seus dados pessoais. Neste caso, verifica-se uma relação take-it-or-leave-it, o que quer dizer que o consumidor precisa concordar com o tratamento de dados, sob pena de não poder obter o produto ou serviço.
Aliás, o § 3º do art. 9º da LGPD expressamente prevê que se o tratamento dos dados pessoais for condição para o fornecimento do produto ou serviço, o titular deve ser informado com destaque sobre esse fato. Além disso, deverá ser informado sobre os meios pelos quais poderá exercer os direitos do titular, tais como a revogação, a eliminação ou a portabilidade dos seus dados pessoais.
Outro ponto importantíssimo, é atentar-se para que, quando a base legal do tratamento for o consentimento expresso, é preciso que tal consentimento esteja estritamente vinculado ao controlador ao qual o tratamento dos dados foi autorizado. Isto quer dizer que, em caso de haver necessidade de comunicação ou compartilhamento de dados por parte do controlador para com terceiros, o consentimento inicial não é suficiente, necessitando de nova permissão pelo titular de dados, o qual deve ter ciência inequívoca do compartilhamento ou comunicação de dados a terceiros.
Ainda, o consentimento é sempre temporário, podendo ser revogado a qualquer momento por procedimento gratuito e facilitado, mediante manifestação expressa do titular.
Qualquer alteração, portanto, nas circunstâncias que justificaram o consentimento do titular ensejará a necessidade de novo consentimento. E as alterações aqui mencionadas dizem respeito à finalidade específica do tratamento; à forma e a duração do tratamento, à identificação do controlador; e informações acerca do uso compartilhado de dados pelo controlador e a finalidade.
Conclusão
O que se conclui, pois, é que todas as informações sobre o tratamento de dados devem ser prestadas ao titular, sem o que não restará observado o requisito do consentimento informado. Nesse sentido, o § 1º do art. 9º da LGPD afirma que “na hipótese em que o consentimento é requerido, esse será considerado nulo caso as informações fornecidas ao titular tenham conteúdo enganoso ou abusivo ou não tenham sido apresentadas previamente com transparência, de forma clara e inequívoca.”
Deve-se atentar também que o ônus de provar que o consentimento foi efetivo e válido é do controlador dos dados. Portanto, imprescindível que haja uma gestão adequada de controle dos consentimentos concedidos pelos titulares de dados.
Portanto, foram descritas acimas as principais normativas que se deve atentar para quando for realizado o tratamento de dados com base no consentimento expresso.
Importante, por isso, registrar que não basta apenas, especialmente nos contratos eletrônicos, o simples “aceite” do titular de dados. O controlador deve fornecer a ele todas as informações necessárias para que tenha conhecimento da finalidade, do tempo, de quem é o controlador e de eventual compartilhamento, sem as quais o consentimento pode ser considerado nulo.
